Przyjęcie ustawy o Krajowym Systemie Cyberbezpieczeństwa miało być momentem przełomowym. Polska wreszcie wdraża unijną dyrektywę NIS2 i domyka proces, który według harmonogramu UE powinien zakończyć się jesienią ubiegłego roku. Tymczasem zamiast poczucia porządku i przewidywalności otrzymujemy sygnał, że największym problemem nie są przepisy, lecz świadomość ich obowiązywania.
Raport Cyberportret polskiego biznesu 2025 ujawnia, że trzydzieści sześć proc. ekspertów ds. cyberbezpieczeństwa nie potrafi odpowiedzieć na podstawowe pytanie: czy ich organizacja podlega NIS2. Jednocześnie pięćdziesiąt trzy proc. firm zaktualizowało już polityki bezpieczeństwa, trzydzieści pięć proc. zwiększyło zatrudnienie w działach cyberbezpieczeństwa, a ponad połowa szkoli pracowników. Powstaje zatem paradoks, w którym przedsiębiorstwa podejmują działania, nie mając pewności co do ich prawnego uzasadnienia.
Rosnące zagrożenia i rosnąca dezorientacja
To nie jest problem drugorzędny. Dyrektywa NIS2 wprowadza kategorię podmiotów kluczowych i ważnych oraz wymaga od nich wdrożenia szczegółowych procedur, raportowania incydentów, wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo i zapewnienia ciągłej gotowości operacyjnej. Brak wiedzy o statusie regulacyjnym oznacza ryzyko naruszenia prawa, niewłaściwego planowania budżetu i narażenia organizacji na sankcje.
Sytuacja jest tym bardziej poważna, że skala zagrożeń cyfrowych nieustannie się zwiększa. Według danych ESET w pierwszej połowie 2025 roku Polska była najczęściej atakowanym przez ransomware krajem na świecie, odpowiadając za sześć proc. globalnych incydentów. W warunkach takiej presji brak jednoznacznej wiedzy regulacyjnej nie jest drobnym problemem. To realna luka w odporności organizacyjnej.
Niepewność dotyczy również łańcucha dostaw. Firmy, które nie zostaną formalnie objęte NIS2, i tak będą zmuszone dostosować się do jego wymogów, jeśli chcą utrzymać współpracę z podmiotami kluczowymi. To element często niedostrzegany w dyskusjach, a w praktyce niezwykle istotny dla sektora MŚP.
Deklaracje wdrażania kontra realne możliwości organizacyjne
Choć wiele firm deklaruje aktywne działania, ich skala pozostaje nierównomierna. Ponad pięćdziesiąt proc. organizacji aktualizuje polityki bezpieczeństwa czy prowadzi szkolenia, czterdzieści dwa proc. przeprowadziło testy penetracyjne, a dalsze czterdzieści proc. przygotowuje się do ich realizacji. To dane budujące, lecz wymagające interpretacji. W wielu firmach działania te mają charakter reaktywny, a nie strategiczny.
Najtrudniejszym obszarem pozostaje budowa kompetencji. Zaledwie trzydzieści pięć proc. organizacji zatrudniło dodatkowych specjalistów, czterdzieści trzy proc. dopiero to planuje, a dziewiętnaście proc. w ogóle nie przewiduje powiększenia zespołów. Przy deficycie talentów na rynku oraz wysokich kosztach pracy konsekwencje tego opóźnienia mogą być poważne.
Trudno budować spójny system bezpieczeństwa, gdy regulacje są modyfikowane niemal na ostatniej prostej. Tak było i tym razem. Zaskoczeniem okazała się decyzja rządu o zmniejszeniu planowanych wydatków na realizację KSC. Jeszcze niedawno mówiono o ponad czterech mld PLN. Nowa wersja projektu zakłada niespełna trzy mld, co oznacza średnią redukcję rzędu trzydziestu proc.
Najbardziej dotknięte obszary to finansowanie CSIRT-ów, wydatki Urzędu Komunikacji Elektronicznej oraz środki na wynagrodzenia w administracji publicznej odpowiedzialnej za nadzór i realizację zadań. Trudno nie dostrzec ryzyka, że przy ograniczonych budżetach państwo może mieć trudność z przyciągnięciem specjalistów i utrzymaniem operacyjnej gotowości systemu.
Eksperci zwracają uwagę, że w warunkach nasilających się ataków hybrydowych i destabilizacyjnych takie oszczędności mogą okazać się pozorne. Stawką jest bowiem nie tylko zgodność regulacyjna, lecz także ciągłość działania instytucji publicznych i prywatnych.
Prawo nie zadziała, jeśli nie zostanie zrozumiane
Wejście w życie ustawy o KSC było konieczne i długo oczekiwane. Polska stoi wobec gwałtownie rosnących zagrożeń, a harmonizacja z dyrektywą NIS2 jest kluczowa dla bezpieczeństwa państwa i gospodarki. Jednak samo uchwalenie przepisów nie wystarczy. Aby system realnie zadziałał, organizacje muszą wiedzieć, jakie obowiązki na nich ciążą.
Dopóki tak duża część ekspertów i przedsiębiorstw nie potrafi określić swojej roli w ramach KSC, dopóty regulacja będzie funkcjonować jedynie formalnie. W obszarze cyberbezpieczeństwa brak pewności jest jednym z najpoważniejszych zagrożeń. A to oznacza konieczność nie tylko wdrażania nowych procedur, lecz przede wszystkim skutecznej komunikacji, edukacji i wsparcia interpretacyjnego.
Czytaj także:
